Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz

kontrola firewall logu

Moderátor: Moderátoři

Pravidla fóra
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
Zamčeno
Zpráva
Autor
sapito
Návštěvník
Návštěvník
Příspěvky: 91
Registrován: 27 bře 2009 18:59

kontrola firewall logu

#1 Příspěvek od sapito »

Prosím o kontrolu logu. Je to bezpečné?


Aktivnˇ pýipojenˇ

Proto Mˇstnˇ adresa Cizˇ adresa Stav PID
TCP 0.0.0.0:135 0.0.0.0:0 NASLOUCHµNÖ 1268
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\svchost.exe
-- nezn m‚ souź sti --
[svchost.exe]

TCP 0.0.0.0:445 0.0.0.0:0 NASLOUCHµNÖ 4
[Syst‚m]

TCP 10.0.0.1:139 0.0.0.0:0 NASLOUCHµNÖ 4
[Syst‚m]

TCP 127.0.0.1:1026 0.0.0.0:0 NASLOUCHµNÖ 740
[alg.exe]

TCP 127.0.0.1:5152 0.0.0.0:0 NASLOUCHµNÖ 412
[jqs.exe]

TCP 127.0.0.1:30606 0.0.0.0:0 NASLOUCHµNÖ 240
[ekrn.exe]

TCP 10.0.0.1:3730 77.75.73.12:80 NAVµZµNO 240
[ekrn.exe]

TCP 127.0.0.1:3328 127.0.0.1:3329 NAVµZµNO 3816
[firefox.exe]

TCP 127.0.0.1:3329 127.0.0.1:3328 NAVµZµNO 3816
[firefox.exe]

TCP 127.0.0.1:3331 127.0.0.1:3332 NAVµZµNO 3816
[firefox.exe]

TCP 127.0.0.1:3332 127.0.0.1:3331 NAVµZµNO 3816
[firefox.exe]

TCP 127.0.0.1:3729 127.0.0.1:30606 NAVµZµNO 3816
[firefox.exe]

TCP 127.0.0.1:30606 127.0.0.1:3729 NAVµZµNO 240
[ekrn.exe]

TCP 10.0.0.1:1880 193.19.179.26:80 CLOSE_WAIT 240
[ekrn.exe]

TCP 10.0.0.1:2288 95.168.205.43:80 CLOSE_WAIT 240
[ekrn.exe]

TCP 10.0.0.1:3187 95.168.205.43:80 CLOSE_WAIT 240
[ekrn.exe]

TCP 127.0.0.1:5152 127.0.0.1:3630 CLOSE_WAIT 412
[jqs.exe]

TCP 127.0.0.1:44501 127.0.0.1:1148 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:2268 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:2908 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:2138 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:1978 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:2142 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:3038 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:1183 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:1832 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:3181 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:1648 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:2832 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:1073 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:3313 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:2986 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:1756 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:2386 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:2930 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:2530 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:3042 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:2882 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:2372 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:1992 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:2710 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:2982 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:2934 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:2263 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:1752 CLOSE_WAIT 812
[Syst‚m]

TCP 127.0.0.1:44501 127.0.0.1:2470 CLOSE_WAIT 812
[Syst‚m]

TCP 10.0.0.1:3698 74.125.87.101:80 TIME_WAIT 0
TCP 127.0.0.1:3697 127.0.0.1:30606 TIME_WAIT 0
TCP 127.0.0.1:30606 127.0.0.1:3725 TIME_WAIT 0
TCP 127.0.0.1:30606 127.0.0.1:3727 TIME_WAIT 0
UDP 0.0.0.0:500 *:* 1024
[lsass.exe]

UDP 0.0.0.0:4500 *:* 1024
[lsass.exe]

UDP 0.0.0.0:445 *:* 4
[Syst‚m]

UDP 10.0.0.1:137 *:* 4
[Syst‚m]

UDP 10.0.0.1:138 *:* 4
[Syst‚m]

UDP 10.0.0.1:123 *:* 1392
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
-- nezn m‚ souź sti --
[svchost.exe]

UDP 10.0.0.1:1900 *:* 1640
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP 127.0.0.1:123 *:* 1392
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP 127.0.0.1:1900 *:* 1640
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]
Nahoru
Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: kontrola firewall logu

#2 Příspěvek od motji »

Dobrý večer :)
Přiznám se, že na tento log nejsem zrovna odborník, ale nic vyloženě nebezpečného tam nevidím.
Máte s počítačem nějaký problém?
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Nahoru
skervarz
Vzorný návštěvník
Vzorný návštěvník
Příspěvky: 93
Registrován: 07 pro 2008 23:50
Bydliště: Praha

Re: kontrola firewall logu

#3 Příspěvek od skervarz »

Podle toho vypisu bych odhadl, ze mate nejaky antivirus se sitovym stitem, protoze Vam jdou vsechna spojeni pres localhost. aaa uz to vidim, asi eset???

Jinak tam nic zvlastniho nevidim ... predpokladam, ze 10.0.0.1 je vas druhy pocitac nebo router?
Je tam:
TCP 0.0.0.0:135 0.0.0.0:0 NASLOUCHµNÖ 1268
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\svchost.exe
OK - 135 je port pro DCOM, nevim presne co to je (nejake interface, pro RPC, jak je videt i na tech napojenych procesech) ... na netu jsou sahodlouhe diskuse, jestli je to potreba nebo ne :).
TCP 0.0.0.0:445 0.0.0.0:0 NASLOUCHµNÖ 4
[Syst‚m]
TCP 10.0.0.1:139 0.0.0.0:0 NASLOUCHµNÖ 4
[Syst‚m]
Microsofti sdileni adresaru (to se mi doma povedlo vypnout tak, ze uz to bez reinstalu asi nezapnu :) )

TCP 127.0.0.1:1026 0.0.0.0:0 NASLOUCHµNÖ 740
[alg.exe]
Proc toto posloucha nevim, asi si to vyzadala nejaka aplikace 1026 neni privilegovany port, takze ok. Alg.exe obstarava komunikaci, hlavne pokud mate zapnute ICS.
TCP 127.0.0.1:5152 0.0.0.0:0 NASLOUCHµNÖ 412
[jqs.exe]

Java pravdepodobne dusledek netovani.
Ty firefoxy jsou take v pohode zadny prioritni port

ekrn.exe - jestli se nepletu, tak to je sitovy stit, pres ktery se teprve leze ven. Btw. nemam rad konfiguraci takto se sitovym stitem, protoze pak na firewallu tezko nastavim nejaka pravidla.

lsass.exe - OK to je nejaky microsofti udelatko, co ma kontrolovat zabezpeceni/nastaveni pocitace ... cert vi co to vlastne znamena, proces je ok, co to sleduje na UDP na 4500 nevim, ale to uz budou nejake systemove veci.
UDP 10.0.0.1:123 *:* 1392
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
Synchronizace casu (jak je vide i na nazvech dllek), ntdll.dll je soubor jadra :).
UDP 10.0.0.1:1900 *:* 1640
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]
Systemove veci ... co delaji nevim, pravdepodobne maji co do cineni s nejaky sdilenim pripojeni nebo s routovanim.


Obecne lze rici (hodne zjednodusene) ... pokud je neco pripojeno na porty vetsi nez 1023 tak by to nemelo vyuzivat zadne sluzby, ktere jsou na privilegovanych portech ... pokud jsou nekde porty mensi nez 1024 tak se podivat co to je ... na pocitacich je vetsinou aktivni (poslouchane) microsofti sdileni portu 135-139 a 445 (tcp a udp).

Nejaky odbornik zde urcite kdyztak upresni.
Nahoru
Zamčeno

Zpět na „Diskuze, řešení problémů“